ISMS適合性評価制度説明会 ISO/IEC 27001とISMS認証 … · Copyright JIPDEC ISMS, 2005 4 Information Security Management System 本文適用宣言書適用宣言書を作成する。

Copyright JIPDEC ISMS, 2005 1

Information Security Management System

ISMS適合性評価制度説明会

ISO/IEC 27001とISMS認証基準

との比較分析の概要

(財)日本情報処理開発協会情報セキュリティ部 ISMS制度推進室

ISMS適合性評価制度技術専門部会

2005年12月



n はじめにn ISO/IEC 27001:2005とISMS認証基準の比較

n本文n附属書附属書A「管理目的及び管理策」

n まとめ

n 参考資料（変更の概要）

アジェンダ



はじめに

n 説明内容n ISO/IEC 27001:2005の制定に伴いISMS認証基準(Ver.2.0)からの主要な

変更点について、幾つか取り上げ説明します。

n 説明会資料の最後に掲載している「ISO/IEC 27001:2005とISMS認証基準(Ver.2.0)比較表」は当該説明の参考資料となります。n 補足１:比較表は本文の４章以降および附属書Aについて記載しています。

n 附属書B（OECD原則とこの規格）、附属書C（ISO9001:2000，ISO14001:2004及びこの規格の対応）については記載しておりません。

n 補足２：比較表の備考欄に「削除」及び「移動」と記載されている場合は、斜め線で記載されております。

n ISO/IEC 27001:2005（日本規格協会より発行）につきましては、JIPDEC ISMS制度推進室のホームページより購入できます。n URL：http://www.isms.jipdec.jp



本文適用宣言書

適用宣言書を作成する。

適用宣言書には，次の事項を含めること。

適用宣言書を作成する。

第4 2.(1)⑦で選択した管理目的及び管理策、並びにこれらを選択した理由を文書化し、適用宣言書に含めること。また、附属書「詳細管理策」に記載する管理目的及び管理策の中から適用除外としたものは記録すること。

para1・変更なし

Ver.2.0para2・→新小項目へ　第一文→新 4.2.1j)1)へ　第二文→新 4.2.1j)3)へ

4.2.1j)1) 4.2.1g)で選択した管理目的及び管理策，並びにこれらを選択した理由。

・変更（項番追加）（内容はVer.2.0第4 2.(1)⑧para2第一文と同じもの）

4.2.1j)2) 現在実施されている管理目的及び管理策（4.2.1e)2)参照）。

・新規

4.2.1j)3) 附属書Aの管理目的及び管理策の中から適用除外としたものすべて，及びその除外理由。

・変更（項番追加）（内容はVer.2.0第4 2.(1)⑧para2第二文を一部変更したもの）

参考　適用宣言書は，リスク対応に関する決定をまとめたものである。除外理由を示すことによって，不注意から除外された管理策がないことを照合確認できる。

・新規

第4 2.(1)⑧4.2.1j)

条文条文備考項番項番ISO/IEC 27001 ISMS認証基準Ver.2.0

適用宣言書（statement of applicability）その組織のISMSに関連して，適用する管理目的及び管理策を記述した文書。

参考　管理目的及び管理策は，組織の情報セキュリティに対する次のものに基づくものである。・リスクアセスメント及びリスク対応のプロセスの結果及び結論・法的又は規制要求事項・契約上の義務・事業上の要求事項

適用宣言書（statement of applicability）組織のリスクアセスメント及びリスク対応プロセスの結果及び結論に基づき、組織のISMSに適切で当てはまる管理目的及び管理策を記述した文書。

・変更（大幅変更）（前半部分を変更して新たにNOTEとして追加）

3.16 第3 12.



4.2.1c) para2 選択したリスクアセスメントの方法（methodology）では，リスクアセスメントが比較可能で再現可能な結果を出すものであることを，確実にすること。

4.2.1 ISMSの確立

4.2.2d) 選択した管理策又は管理策一式の有効性を測定する方法について規定する。また，比較可能で再現可能な結果を出すために，管理策の有効性を評価する（assess）のにこの測定方法をどのように利用すべきかを特定する（4.2.3c)参照）。

4.2.2 ISMSの導入及び運用

4.2.3b) 当該ISMSの有効性に関して定期的な見直しを実施する（ISMS基本方針及び目的を満たすこと，並びにセキュリティ管理策の見直しを含む）。その際，セキュリティ監査の結果，インシデント，有効性の測定結果，提案及び全ての利害関係者からのフィードバックを考慮に入れる。

4.2.3c) セキュリティ要求事項が満たされていることを検証するために，管理策の有効性を測定する。

4.2.3d) あらかじめ定められた間隔でリスクアセスメントの見直しを行い，残留リスク及び識別された受容可能なリスク水準の見直しを行う。その際，次の事項に生じる変化を考慮に入れる。

・・

5) 実施された管理策の有効性。

4.2.3 ISMSの監視及び見直し

ISMS文書には、次の事項を含めること。

4.3.1d) リスクアセスメントの方法（methodology）についての説明（4.2.1c)参照）。

4.3.1g) 情報セキュリティに関するプロセスの効果的な計画，運用及び管理を確実に実施するため，また管理策の有効性を測定する方法（4.2.3c)参照）を説明するために，組織が必要と判断した，文書化された手順。

4.3.1 文書化に関する要求事項一般

7.2ｆ）有効性の測定結果を、マネジメントレビューへのインプットに含めること。

7.3e) 管理策の有効性を測定する方法の改善を、マネジメントレビューからのアウトプットに関する決定及び処置を含めること。

7 ISMSのマネジメントレビュー

本文管理策の有効性の測定



本文セキュリティ計画

ISMSの監視及び見直し・変更なし

組織は次の事項を実施すること。

4.2.3 第4 2.(3)

監視及び見直しの活動で検出された事項を踏まえて，セキュリティ計画を更新する。

・新規4.2.3g)

条文条文備考項番項番ISO/IEC 27001 ISMS認証基準Ver.2. 0



本文文書化

文書化に関する要求事項・変更なし

一般・変更なし

文書には，経営陣の決定に関する記録を含めること。また，文書は，活動が経営陣の決定及び基本方針まで追跡可能であり，記録された結果が再現可能なことを確実にするものであること。

文書によって，選択した管理策から遡って当該管理策とリスクアセスメント及びリスク対応のプロセスの結果までの関連を実証できること，また，さらに遡ってISMS基本方針及び目的までの関連を実証できることが重要である。

ISMS文書には，次の事項を含めること。

ISMS文書には、次の事項を含めること。 para1&2・新規

para3・変更なし

情報セキュリティ基本方針（第4 2.(1)②参照）及び管理目的の表明。

・変更（一部変更）

当該ISMSの適用範囲（第4 2.(1)①参照）並びにISMSを支える手順及び管理策。

・変更（一部削除）（後半削除→4.3.1c)へ）

当該ISMSを支える手順及び管理策。・変更（項番追加）（内容は、旧4.3.1b)の後半部分）

リスクアセスメントの方法（methodology）についての説明（4.2.1c)参照）。

・新規

4.3.1b)

4.3.1c)

4.3.1d)

4.3

4.3.1

4.3.1a)

第4 3.(1)②

第4 3.

第4 3.(1)

第4 3.(1)①


必要とする人にとって文書が使用可能であることを確実にし，また文書がその分類区分に適用される手順に従って移動，保管，及び完全に廃棄されることを確実にする。

・新規4.3.2f)



本文リスクアセスメント計画

7.3 第6 3. マネジメントレビューからのアウトプットマネジメントレビューからのアウトプットには、次の事項に関する決定及び処置を含めること。

・変更なし

7.3a) 第6 3.① ISMSの有効性の改善。・変更なし

7.3b) リスクアセスメント計画及びリスク対応計画の更新。・新規

7.3c) 第6 3.② ISMSに影響を与える可能性のある内部又は外部の事象に対応するために必要に応じて加えられる、情報セキュリティを実現する手順の修正。それらの事象には、次の事項に対する変更が含まれる。

・変更（一部追加）

7.3c) 1) 第6 3.②(ｱ) 事業上の要求事項。・変更なし

7.3c) 2) 第6 3.②(ｲ) 情報セキュリティ要求事項。・変更なし

7.3c) 3) 第6 3.②(ｳ) 既存の事業上の要求事項を満たす業務プロセス。・変更なし

7.3c) 4) 第6 3.②(ｴ) 規制環境又は法的環境。・変更（一部変更）

7.3c) 5) 契約上の義務。・新規

7.3c) 6) 第6 3.②(ｵ) リスクの度合い及びリスク受容の水準。・変更（一部変更）

7.3d) 第6 3.③ 必要となる経営資源。・変更なし

7.3e) 管理策の有効性を測定する方法の改善。･新規




本文リスクを受容する基準と受容可能なリスクの水準

条文条文備考項番項番ISO/IEC 27001 ISMS認証基準V e r.2 .0

経営陣の責任経営陣の責任

経営陣のコミットメント経営陣は、ISMSの確立、導入、運用、監視、見直し、維持及び改善に対するコミットメントの証拠を、次の事項によって示すこと。

・変更なし

第5 1.① 情報セキュリティ基本方針を確立する。･変更（一部変更）

第5 1.② 情報セキュリティ目標が設定され、計画が策定されることを確実にする。

･変更（一部変更）

第5 1.③ 情報セキュリティに対する役割及び責任を定める。・変更なし

第5 1.④ 情報セキュリティ目標を達成することの重要性及び情報セキュリティ基本方針に適合することの重要性、当該組織の法的責任、並びに継続的改善の必要性を組織内に周知する。

・変更なし

第5 1.⑤ ISMSの確立、導入、運用及び維持に十分な経営資源を提供する（第5 2.(1)参照）。

・変更（一部変更）

リスクを受容するための基準，及び受容可能なリスクの水準を決める。

第5 1.⑥ リスクの受容可能な水準を決める。・変更（大幅変更）

ISMSの内部監査が実施されることを確実にする（6参照）。

・新規

第5 1.⑦ ISMSのマネジメントレビューを実施する（第6参照）。・変更なし

5.1g)

5.1h)

5.1a)

5.1b)

5.1e)

5.1f)

5.1c)

5.1d)

5

5.1

第5

第5 1.



3. セキュリティ基本方針

4. 組織のセキュリティ

5. 資産の分類及び管理

6. 人的セキュリティ

7. 物理的及び環境的セキュリティ

8. 通信及び運用管理

9. アクセス制御

10. システムの開発及び保守

11. 事業継続管理

12. 適合性

A.5 セキュリティ基本方針

A.6 情報セキュリティのための組織

A.7 資産の管理

A.8 人的資源のセキュリティ

A.9 物理的及び環境的セキュリティ

A.10 通信及び運用管理

A.11 アクセス制御

A.12 情報システムの取得、開発及び保守

A.13 情報セキュリティインシデント管理

A.14 事業継続管理

A.15 コンプライアンス

附属書A「管理目的及び管理策」ISO/IEC 27001:2005

（ISO/IEC 17799：2005の管理目的及び管理策と全く同じ）

ISMS認証基準（Ver.2.0）

（6.3 セキュリティ事件・事故及び誤動作への対処

8.1.3 事件・事故管理手順12.1.7 証拠の収集等）

NEW



附属書A「管理目的及び管理策」

ISMS認証基準（Ver.2.0）ISO/IEC 27001:2005

127133管理策

4.（3）外部委託

6.（1）職務定義及び雇用におけるセキュリティ6.（2）利用者の訓練7.（3）その他の管理策

A.8.1 雇用前

A.8.2 雇用期間中A.8.3 雇用の終了又は変更A.10.2 第三者が提供するサービスの管理A.10.9 電子商取引サービスA.12.6 技術的ぜい弱性管理A.13.2 情報セキュリティインシデントの管理及びその改善

9.(4)④9.(5)⑥10.(3)②10.(3)③10.(3)④

4.(1)①4.(1)⑤4.(3)①6.(3)③8.(1)⑥9.(4)②

A.10.2.3A.10.4.2A.10.9.2A.10.10.3A.12.6.1

A.8.3.1A.8.3.2A.8.3.3A.9.1.4A.10.2.1A.10.2.2

A.6.1.1 A.6.1.7A.6.2.2A.7.1.2A.7.1.3A.8.2.1

管理策 -11

管理目的 -4

削除

管理策 +17

管理目的 +7

追加



管理目的－追加と削除－

－追加－－削除－

7

6

5

4

3

2

1

---第三者が提供するサービスの管理A.10.2

6.(2)利用者の訓練雇用期間中A.8.2

6.(1)職務定義及び雇用におけるセキュリティ

雇用前A.8.1

8.(7)情報及びソフトウェアの交換（10.8と10.9に分割）

電子商取引サービスA.10.9

---雇用の終了又は変更A.8.3

----技術的ぜい弱性管理A.12.6

---情報セキュリティインシデントの管理及びその改善

A.13.2

旧6.(3)①～6.(3)④、及び旧8.(1)③、12.(1)⑦

情報セキュリティインシデントの管理A.13

4

3

2

1

タイトルから混乱が生じたため、削除

7(3)①はA.11.3.37(3)②はA.9.2.7へ移動

その他の管理策

クリアデスク及びクリアスクリーンの個別方針

資産の移動

7.(3)7.(3)①

7.(3)②

A.8.2利用者の訓練6.(2)

A.8.1職務定義及び雇用におけるセキュリティ

6.(1)

A.6.2へ統合外部委託4.(3)



管理策－追加と削除－

－追加－－削除－

11

10

9

8

7

6

5

4

3

2

1 A.6.1.1へ統合情報セキュリティ運営委員会4.(1)①

A.13.1.1へ統合利用者を保護するための脅迫に対する警報

9.(5)⑥

A.11.4.2へ統合ノードの認証9.(4)④

A.12.3.1へ統合否認防止サービス10.(3)④

A.12.3.1へ統合ディジタル署名10.(3)③

A.12.3.1へ統合暗号化10.(3)②

A.13.1.1へ統合ソフトウェアの誤動作の報告6.(3)③

A.6.2.3へ統合外部委託契約におけるセキュリティ要求事項

4.(3)①

A.6.1.1へ統合専門家による情報セキュリティの助言4.(1)⑤

指定された接続経路9.(4)②

A.10.2へ（内容も拡張）

外部委託による施設管理8.(1)⑥

17

16

15

14

13

12

11

10

9

8

7

6

5

4

3

2

1 4.(1)①情報セキュリティに対する経営陣の責任A.6.1.1

---アクセス権の削除A.8.3.3

---資産の返却A.8.3.2

---モバイルコードに対する管理策A.10.4.2

---第三者が提供するサービスの変更に対する管理

A.10.2.3

---第三者が提供するサービスの監視及びレビュー

A.10.2.2

---第三者が提供するサービスA.10.2.1

7.(1)③（A.9.1.3とA.9.1.4に分割）

外部及び環境の脅威からの保護A.9.1.4

---経営陣の責任A.8.2.1

---資産利用の許容範囲A.7.1.3

---資産の所有権A.7.1.2

---顧客対応におけるセキュリティA.6.2.2

4.(1)⑥（A.6.1.6とA.6.1.7に分割）

専門組織との連絡A.6.1.7

---オンライン取引A.10.9.2

---雇用終了又は変更に関する責任A.8.3.1

ログ情報の保護A.10.10.3

----技術的ぜい弱性の管理A.12.6.1



まとめn ISO/IEC 27001:2005についてISMS認証基準

(Ver.2.0)からの主な変更点について、幾つか取り上げて説明しました。

・適用宣言書・管理策の有効性の測定

・セキュリティ計画・文書化・リスクアセスメント計画・リスクを受容する基準と受容可能なリスクの水準



参考資料（変更の概要）



・全般的に変更- 0.2 PDCAの説明（図の下表）

「情報セキュリティ基本方針」

→「ISMS基本方針」

4.2.1参考を参照*※ この他、4.2.3b)、4.3.1a)、5.1a)も同様。

- OECDガイドラインへの言及の追加

*4.2.1参考この規格の目的のため，ISMS基本方針は，情報セキュリティ基本方針を含むものとみなす。これらの方針は，一つの文書のなかに記載することができる。

0 序文 –ISO/IEC 27001:2005-



1 適用範囲 –ISO/IEC 27001:2005-

・全般的に変更- 1.1 第一段落

規格対象についての言及の追加 → 明確化。- 1.2 再構成（文の順序等）

- 参考情報の追加例：1.1 参考1 「business（事業）」についての定義

参考2 ISO/IEC 17799:2005の位置づけ

1.2 参考他のMS規格を有している組織の場合



2 引用規格 –ISO/IEC 27001:2005-

・ISO/IEC 17799:2005

ISO/IEC 27001:2005

・ISO 9001: 2000（JIS Q 9001:200）

・ISO/IEC 17799:2000

（JIS X 5080:2002）

・ISO Guide 73:2002

（TR Q 0008:2003）

ISMS認証基準（Ver.2.0）



3 用語及び定義

ISO/IEC Guide 73:2002

ISO/IEC TR 18044:2004

ISO/IEC 17799:2005

ISO/IEC 13335-1:2004

適用宣言書

リスク対応

リスクマネジメント

リスク評価

リスクアセスメント

リスク分析

リスクの受容

残留リスク

情報セキュリティマネジメントシステム

情報セキュリティインシデント

情報セキュリティ事象

情報セキュリティ

完全性

機密性

可用性

資産

3.3

3.15

3.16

3.14

3.13

3.12

3.11

3.10

3.9

3.7

3.6

3.5

3.4

3.8

3.2

3.1

適用宣言書

リスク対応

リスクマネジメント

リスク評価

リスクアセスメント

リスク分析

リスクの受容

情報セキュリティマネジメントシステム

情報セキュリティ

完全性

機密性

可用性

ISO/IEC Guide 73:2002（TR Q 0008:2003 ）

ISO/IEC 17799:2000

（JIS X 5080-2002）第3.5

第3.11

第3.12

第3.10

第3.9

第3.8

第3.7

第3.6

第3.4

第3.3

第3.2

第3.1

NEW

ISO/IEC 27001:2005 ISMS認証基準（Ver.2.0）

CIAの定義変更

（参照規格の変更）

NEW

NEW

NEW

定義変更

定義変更



4 情報セキュリティマネジメントシステム

4.1 一部変更

1）変更「（自らの事業活動全般及び）リスク」

→ 「（自らの事業活動全般及び）直面するリスク」

2）変更－ ISMSの表現「組織は、自らの事業の活動全般及びリスク全般を考慮して、文書化されたISMSを構築、導入、維持し、かつこれを継続的に改善すること。」→「組織は，自らの事業の活動全般及び直面するリスクを考慮して，文書化されたISMSを確立，導入，運用，監視，見直し，維持，改善すること。」

← 3.7の定義との整合3.7 情報セキュリティマネジメントシステム（information security management system, ISMS）マネジメントシステム全体の中で，事業リスクに対する取組み方に基づいて，情報セキュリティの確立，導入，運用，監視，見直し，維持及び改善を担う部分。

※この他、0.1、5.1e)、5.2.1a)も同様



★e)2)の変更（”vulnerabilities”の後に”,”が追加された）－邦訳の表現を変更（下記参照）→「一般に認識されている脅威及びぜい弱性並びに資産に関連する影響の観点

から，起こりうるセキュリティ障害の現実的な発生可能性についてアセスメントを実施する。その際に，現在実施されている管理策を考慮する。」

★para1「事業の特徴」→「～の各特徴」

e)

・2)の変更

－参照番号「第4 2.(1)③」→「4.2.1c)2) 」（小項目追加に伴う）－「リスクの受容のための評価基準」→

「リスクを受容するための基準」（用語の統一）

－「リスクを保有する」と参考を削除（原文にはないため。）

f)

☆次の変更

－「リスクアセスメントを実施する。」→「リスクを分析し評価する。」

（ISO/IEC Guide 73に合わせて修正）

*ISO/IEC Guide 73:2002 （TR 0008:2003）3.3.1 リスクアセスメント

リスク分析（3.3.2）からリスク評価（3.3.6）までのすべてのプロセス・1)の変更

－第一文「事業上の損害」→「組織に対する事業上の影響」。

－第二文「喪失による潜在的な影響」→「喪失による影響」

・4)の変更－参照番号「第4 2.(1)③」→「4.2.1c)2)」（小項目追加に伴う）

－「評価基準」→「リスクを受容するための基準」

・para1の変更－「リスクアセスメントについての体系的な取組方法」→

「組織のリスクアセスメントについての取組方法」

☆Ver.2.0 para2の第二文を削除

－ 4.2.1b)との重複を避けるため。・para2小項目の追加（項番追加）

－c)1)－Ver.2.0 para2の第一文を一部変更したもの。－c)2)－Ver.2.0 para2の第三文を一部変更したもの。

☆参考の追加（新規）－ ISO/IEC 13335-3にリスクアセスメントの方法が記載されていることを示すため。

★「事業の特徴」→「～の各特徴」

★para2の追加（新規）－リスクアセスメントが、比較可能で再現可能な結果を出すものでなければならないことを示すため。

c)

☆3)の変更

－ ISMSによって、戦略的なリスクマネジメントのコンテクスト全体を決めるべきではない、という考えから変更。

・4)Ver.2.0後半の削除「定義されたリスクアセスメントの構造を確立する」を削除－4.2.1c)との重複を避けるため。

☆参考の追加（新規）

－ISMS基本方針と情報セキュリティ基本方針の関連を説明するため。

b)

・1)注釈追加（新規）－「保有者（owner）」について説明するため。

d)★次の追加「当該適用範囲からの除外の詳細及びその理由（1.2参照）も含め，（～ISMSの適用範囲及び）境界（を定義する。）」

a)

変更の種類：追加、変更、削除、邦訳の変更影響度－大：★ 中：☆ 小：・

4.2.1 ISMSの確立（1/2）



・小項目の追加（ｊ)1)～j)3)）－箇条書のかたちに再編集され、より明確になった。－ j)1) － Ver.2.0の第一文を一部変更したもの（上記参照）－ j)3) － Ver.2.0の第二文を一部変更したもの（上記参照）

☆para2 第一文の変更－「～で明確にされた要求事項を満たすために、（管理目的及び管理策

を選択し）実施する」ことを示すため。☆para3の追加（新規）

－「管理目的及び管理策を付属書Aから選択すること」について、言及するため。

・para4（段落の追加）－内容はVer.2.0 参考と同じもの。

・参考の追加（新規）－附属書Aの内容について説明するため。

☆参考の追加（新規）－「適用宣言書は，リスク対応に関する決定をまとめたものである。除外理由を

示すことによって，不注意から除外された管理策がないことを照合確認できる」ことが示されている。

参考

★2)の追加（新規）

－適用宣言書には「現在実施されている管理目的及び管理策」を含めることを示すため。

★3)「除外理由」の追加

－「～から適用除外としたものすべて、及びその除外理由」

j)

・後半の削除－後半はi)へ移動（i)参照）。

h)

・追加項目（項番の追加）－内容はVer.2.0 第4 2.(1)⑨の後半部分

i)★para2 第二文の変更－管理策を選択する際には、「リスクを受容するための基準と、法

律、規制、及び契約上の要求事項を考慮すること」を示すため。

g)

4.2.1 ISMSの確立（2/2）



4.2.2 ISMSの導入及び運用

☆参考の追加（新規）－「管理策の有効性を測定することにより、計画された管理目的が管理策によってどの程度達成されているのかが、判断」可能になることを示すため。

・参照番号の追加－「(4.2.3a)参照)」が追加された。

h)

★追加項目（新規）－管理策の有効性の測定に関して追加された。

「選択した管理策又は管理策一式の有効性を測定する方法について規定する。また，比較可能で再現可能な結果を出すために，管理策の有効性を評価する（assess）のにこの測定方法をどのように利用すべきかを特定する（4.2.3c)参照）。」を示すため。

d) ・「ISMSの（経営資源）」の追加－何の経営資源が管理対象なのかを明確にするため。

g)

・「ISMSの（運用）」の追加－何の運用が管理対象なのかを明確にするため。

f)

・変更なしb)c)

・変更なしe)★「資源」の追加－「（～の適切な活動，）資源，（責任～）」

リスク対応計画で特定しなければならない事項のなかに、「資源」が追加された。

a)



4.2.3 ISMSの監視及び見直し

☆「見直し」の追加

－「(監視）及び見直し（のための手順）」手順の監視だけでなく、見直しのための手順を実施することを要求するため。

☆5)の変更

－「セキュリティ違反を解決するためにとるべき処置を、事業上の優先順位を踏まえて決定する。」→「～解決するためにとった処置の有効性を判断する。」

セキュリティ違反行為を解決するためにとった処置が、有効かどうかを判断しなければならないことを取り扱うために修正。

・次の変更－「セキュリティ基本方針」→「ISMS基本方針」－ここではISMSの見直しが対象であるため。

☆次の事項の追加

－「あらかじめ定められた間隔でリスクアセスメントの見直しを行い，（残留リスク及び）識別された（受容可能なリスク水準の～）」

☆5)の追加（新規）－見直しのなかに「実施された管理策の有効性」を含めるため。

☆6) 「契約上の義務」の追加－「契約上の義務（や社会環境など）」

d)

・Ver.2.0 「少なくとも年1回」の削除－7.1（マネジメントレビュー）へ移動。

・参照番号変更－「第6参照」→「7.1参照」

f)

・変更なしh)

★ 追加項目（新規）－「監視及び見直しの活動で検出された事項を踏まえてセキュリティ計画を更新する」ことを盛り込むため。

g)

・参照番号の追加－「（～内部監査を実施する）（6参照）。」

・参考の追加（新規）－内部監査は、内部的な目的のため、組織が実施することを示すため。

e)

★「有効性の測定結果」の追加－「（インシデント，）有効性の測定結果（，提案及び～）」「有効性の測定結果」を、定期的な見直しに含めるため。

b)

★追加項目（新規）－「セキュリティ要求事項が満たされていることを検証するために、管理策の有効性を測定する」ため。

c)★4)の追加（新規）

－「指標を利用することにより、セキュリティ事象の検出を容易にし、その結果セキュリティインシデントを防止する」ことを盛り込むため。

a)



4.2.4 ISMSの維持及び改善

・変更なしd)

☆項目内容全体の変更－要求事項が、より明確になった。

「利害関係者全てに結果及び講じた処置を伝達し、可能な限り合意を得る。」 →「利害関係者全てに対し，状況に応じた詳細さで講じた処置及び改善を伝達し，該当する場合は，今後の進め方について合意を得る。」

c)

・変更なし・変更なし

a)b)



4.3.1 文書化に関する要求事項

（*参照「(第4 2.(1)⑧参照)」の削除）

☆Ver.2.0para2（文書は～にしておくこと）の削除－この要求事項は、すでに4.3.2で取り扱われているため。

i)

・変更なしe)f)

・変更なしh)

・後半の削除－後半は、c)へ移動

b)

・追加項目（項番の追加）－内容は、Ver.2.0 第4 3.(1)②の後半部分（b)参照）。

c)

★追加項目（新規）－「リスクアセスメントの方法についての説明」が文書に含まれることを確実にすることを明確にするため。

d)

★次の事項の追加－「（～運用及び管理を確実に実施するため），また管理策の有効性を測定する方法（4.2.3c)参照）を説明するために，（組織が～）」

g)

・変更なし参考1～3

☆次の変更－「情報セキュリティ基本方針～及び管理目的」→

「ISMS基本方針～及び目的」

4.2.1b)と整合をとるため、また、「管理目的」はすでにリスク対応計画に含まれているために変更。

a)

★para1の追加（新規）－「文書には，経営陣の決定に関する記録を含めること。また，文書は，活動が経営陣の決定及び基本方針まで追跡可能であり，記録された結果が再現可能なことを確実にするものであること」を含めるため。

★para2の追加（新規）－「文書によって，選択した管理策から遡って当該管理策とリスクアセスメント及びリスク対応のプロセスの結果までの関連を実証できること，また，さらに遡ってISMS基本方針及び目的までの関連を実証できることが重要である」ことを強調するため。

Para1～para3



4.3.2 文書管理／ 4.3.3 記録の管理

・次の変更－「該当する文書の最新版」→

「適用される文書の該当する版」

d)

☆「重大な」の追加－「重大な（セキュリティインシデント）」となった。

★追加項目（新規）－「必要とする人にとって文書が使用可能であることを確実にし，また文書がその分類区分に適用される手順に従って移動，保管，及び完全に廃棄されることを確実にする」ことについて明確にするため。

f)

・変更なしg)h)i)j)

☆第二文に「保護及び」の追加－「（これらの記録は）保護及び（管理されること。）」

☆第三文に次の追加－「（法的）又は規制要求事項，及び契約上の義務（も考慮に入れること）」

☆第五文に「実施すること」の追加

－「（管理策を文書化し，）実施すること」・第六文の削除

4.3.3para1

para2

para3 ・次の変更（記録の例の箇所）－「アクセスの承認記録」→

「記入済みのアクセス承認用書類」代表的な記録の例を示すために、変更された。

・変更なしe)

・変更なし4.3.2para1a)b)c)



5.1 経営陣のコミットメント 5.2 経営資源の運用管理

･次の変更－「情報セキュリティ目標」→「ISMSの目的」この項はISMSに重点を置いているため、変更。

b)

☆ 次の変更－「リスクの受容可能な水準を決める。」→

「リスクを受容するための基準，及び受容可能なリスクの水準を決める。」

f)

・変更なしh)

･次の変更－「ISMSの確立、導入、運用及び維持」→

「ISMSの確立，導入，運用，監視，見直し，維持，及び改善」－ISMSの確立，導入，運用，監視，見直し，維持及び改善活動を含めるようにするため。

a)

･次の変更－「ISMSの確立、導入、運用及び維持に～」→

「ISMSの確立，導入，運用，監視，見直し，維持，及び改善」－3.7のISMSの定義と整合をとった。

e)・変更なしa)

5.2.2para1

･Ver.2.0前半の削除－ b)の変更に合わせて、「実施した教育・訓練及びその他の」を削除した。

c)

☆変更－「必要な力量がもてるように適切な教育・訓練を実施し、必要な場合には、適格な要員を雇用する。」

→「これらの必要な力量がもてるように教育・訓練を実施するか，又は，他の処置を講ずる（例えば，適格な要員を雇用する）。」

「他の処置を講ずる」可能性（例えば、適格な要員の雇用）も含めるよう変更された。この変更は、ISO 9001と整合をとるために加えられた。

b)

・変更なし

・変更なしb)c)d)e)f)

・変更なし5.2.1para1

･次の変更－「情報セキュリティ基本方針」→「ISMS基本方針」この項はISMSに重点を置いているため、変更。

a)

☆追加項目（新規）－「ISMSの内部監査が実施されることを確実にする」ことを明確にするため。また、6章への参照も加えられた。

g)

d)para2

・変更なし

・変更なしc)d)

・変更なし5.1para1

5 経営陣の責任



6 ISMSの内部監査内容は、ISMS認証基準（Ver.2.0）の中項目6.4「ISMSの内部監査」とほぼ同じもの。これが大項目となった。

☆参考の追加（新規）－ISO 19011:2002について言及するため。

参考

・次の変更－「改善活動」→「フォローアップ活動」

para4

・変更なしpara1para2para3



7 ISMSのマネジメントレビュー7.1 一般／7.2 マネジメントレビューへのインプット／7.3 マネジメントレビューからのアウトプット

・変更なしg)h)i)

★追加項目（新規）－「リスクアセスメント計画及びリスク対応計画の更新」を、マネジメントレビューからのアウトプットに含めるため。

b)

・変更なしa)

e) ★追加項目（新規）

－「管理策の有効性を測定する方法の改善」を、マネジメントレビューのアウトプットに含むため。

・変更なしd)

☆「管理策（の修正）」の追加－「（セキュリティを実現する手順）及び管理策（の修正）」

「手順及び管理策の修正」を含むよう、拡張された。･4)次の変更

－「規制環境又は法的環境。」→

「規制又は法的要求事項。」☆5)の追加（新規）

－「契約上の義務」をマネジメントレビューからのアウトプットに含めるため。

・6) 次の変更－「リスク受容の水準」→

「リスクを受容するための基準」（用語の統一）

c)

・項番の変更（第6 3.→7.3）・他変更なし

7.3para1

・変更なしa)b)c)d)e)

・項番の変更（第6 2.→7.2）･次の変更

－「次の情報」→「次の事項」

7.2para1

★追加項目（新規）

－「有効性の測定結果」を、マネジメントレビューへのインプットに含めるため。

f)

☆「（少なくとも年1回）」の追加

－ Ver.2.0第4 2.(3)⑤から移動。・項番の変更（第6 1.→7.1）（・次の変更

－“the security policy and security objectives” →”information security policy and information security objectives”

－邦訳では、元々「情報」が補足されていたので、変更なし。）

7.1



8 ISMSの改善

・変更なし参考

・変更なし（Ver.2.0para1と同じ）para3

・（Ver.2.0 第7.3⑤削除）－変更され、para2へ移動（下記参照）

・変更なしc)d)e)

・変更なしa)

para2 ☆段落の追加（内容は、Ver.2.0第7.3⑤を大幅に変更したもの）「組織は、リスクの変化を識別すること、また、大きく変化したリスクに重点を置いた、予防処置に関する要求事項を識別すること」について記述。

★追加項目（新規）－「不適合の発生を予防するための処置の必要性の評価」

b)

・変更なしb)c)d)e)f)

☆Ver.2.0「ISMSの導入及び運用における」を削除

－あらゆる種類の不適合を取り扱うために、「不適合の識別」と短縮された。

a)

・次の変更－「ISMSの導入及び運用に関連する(不適合）」→

「ISMS要求事項への（不適合）」･項番の変更（第7 2.→8.2）

8.2para1

☆次の変更－「不適合の発生を未然に防ぐための（処置）」→

「ISMS要求事項への起こり得る不適合が発生することを防止するために、その原因を除去する（処置）」

・項番の変更（第7 .→8.3）

8.3para1

・参照追加。－「（7参照）」を追加。

・項番の変更（第7 1.→8.1）（・次の変更

－”security objectives”→”information security objectives”－Ver.2.0は、元々情報セキュリティ目的となっていたので、変更なし。）

8.1

8.1 継続的改善／8.2 是正処置／8.3 予防処置



ご静聴ありがとうございました

ISMS適合性評価制度技術専門部会(財)日本情報処理開発協会

情報セキュリティ部 ISMS制度推進室Tel: 03-3432-9386FAX: 03-3432-6200E-mail: [email protected]: http://www.isms.jipdec.jp/

Documents

ISMS適合性評価制度説明会 ISO/IEC 27001とISMS認証 … · Copyright JIPDEC ISMS, 2005 4 Information Security Management System 本文 適用宣言書 適用宣言書を作成する。

ISMS適合性評価制度説明会 ISO/IEC 27001とISMS認証 … · Copyright JIPDEC ISMS, 2005 4 Information Security Management System 本文適用宣言書適用宣言書を作成する。